Geminiでセキュリティインシデント対応を加速する【Google Cloud Next ’25 レポート】

GCP

こんにちは、KIYONOエンジニアの田代です。

今日の企業は、ますます高度化するサイバー攻撃の脅威に直面しています。
セキュリティインシデントが発生した場合、迅速かつ正確な対応が求められますが、従来のセキュリティ運用では、人手による分析や判断に時間がかかり、対応の遅延につながる可能性がありました。

Google Cloud Next ’25のセッション「Geminiでセキュリティインシデント対応を加速する」では、GoogleのマルチモーダルAI モデルであるGeminiを活用して、セキュリティインシデント対応を効率化し、迅速な解決を支援する方法が紹介されました。

本レポートでは、セッションの内容を詳細にまとめ、Geminiによるセキュリティ対策の強化、具体的な機能、そして顧客にもたらされるメリットについて解説します。

セキュリティ運用におけるGeminiの活用

Geminiは、セキュリティ運用 (SecOps) において以下のメリットをもたらします。

  • 脅威の迅速な検知
    Geminiの高度な分析能力により、従来は見逃されていた可能性のある潜在的な脅威を早期に検知できます。
  • 対応時間の短縮
    Geminiが自動的に証拠収集や分析を行うため、セキュリティアナリストは対応に要する時間を大幅に短縮し、より迅速にインシデントを解決できます。
  • 運用コストの削減
    Geminiが多くのタスクを自動化することで、セキュリティ運用にかかるコストを削減できます。
  • 専門知識の民主化
    Geminiを活用することで、セキュリティの専門家でなくても高度な分析や判断が可能になり、セキュリティ専門家の不足を補うことができます。

Agentic AIとは?

Agentic AIとは、特定のタスクを実行するために設計されたAIエージェントです。

セキュリティ運用においては、トリアージ、調査、対応などのタスクを自動化するために、複数のエージェントが連携して動作します。

セッションでは、Agentic AIを活用したセキュリティ運用センター (SOC) の将来像が示されました。
以下はその概要です。

  1. アラート
    セキュリティ情報およびイベント管理 (SIEM) システムなどからアラートが発生
  2. トリアージエージェント
    アラートの緊急度とリスクレベルを評価し対応が必要かどうかを判断、対応が必要な場合は調査エージェントにエスカレーション
  3. 調査エージェント
    証拠を収集し脅威のコンテキストを分析、必要に応じて対応エージェントにエスカレーション
  4. 対応エージェント
    脅威への対応策を実行    これらのエージェントは自律的に動作し、必要に応じて連携することで、セキュリティインシデント対応を効率化します。

Agentic SOCの詳細なワークフロー

セッションのスライドでは、Agentic SOCの詳細なワークフローが示されました。

これは、複数のAIエージェントが連携してセキュリティインシデント対応を行う仕組みです。

ワークフローは以下の要素で構成されています。

  • データ管理エージェント
    データのギャップを特定し、データ収集を自動化
  • 検知エンジニアリングエージェント
    脅威ハンティングを行い、新たな脅威を検知するためのルールを生成
  • トリアージエージェント
    アラートのトリアージとエスカレーション
  • 調査エージェント
    証拠収集と脅威コンテキストの分析
  • 対応エージェント
    対応策の実行
  • 脅威ハンティングエージェント
    プロアクティブな脅威ハンティング

    これらのエージェントは、互いに連携し、フィードバックループを形成することで、セキュリティ運用を継続的に改善します。

    Agentic AIの進化

    Agentic AIは、以下の4つの段階で進化を遂げると考えられています。

    • 手動:人が手動でタスクを実行
    • アシスト:AIが要約や推奨事項を生成することで人の生産性を向上
    • 半自律:AIエージェントが主要なタスクを処理し、自動化できないタスクは人に委任
    • 自律:AIがセキュリティライフサイクル全体を管理し、人の代わりに意思決定を行う

    デモとAgentワークフロー

    セッションでは、Geminiを使ったセキュリティインシデント対応のデモが行われました。

    このデモでは、実際にGeminiがどのようにアラートをトリアージし、調査を行い、対応策を提示するかが示されました。

    1. デモでは、まず Google Cloud Security Command Centerに RDP(Remote Desktop Protocol) トンネリングに関するアラートが表示されました。
    2. Geminiのトリアージエージェントは、このアラートを調査すべきものと判断し、調査エージェントにエスカレーションしています。
    3. 次に、調査エージェントは、関連するログやイベントを収集し、脅威のコンテキストを分析をします。
    4. その結果、このアラートは、実際に攻撃が行われている可能性が高いと判断し、対応エージェントにエスカレーションしました。
    5. 対応エージェントは、あらかじめ定義されたプレイブックに基づいて、攻撃元のIPアドレスをブロックするなどの対応策を実行します。

    このデモは、Geminiがいかに迅速かつ正確にセキュリティインシデントに対応できるかを示しています。

    これによりセキュリティアナリストは、Geminiの支援により、手動タスクを削減し、より複雑な問題に集中できるようになります。

    セキュリティタスクエージェントの機能

    セキュリティタスクエージェントは、以下のような機能を備えています。

    • 検索クエリ
      SecOps内から追加のコンテキストを検索し、主要なデータポイントを抽出
    • エンリッチメント
      最新の脅威インテリジェンスデータでアラートをエンリッチ
    • CLI分析
      コマンドラインツールを使用して、コマンドラインを分析
    • プロセツリー分析
      イベントから子プロセスと親プロセスを分析し、「kill chain」を再構築
    • マルウェア分析
      マルウェアを分析・分類
    • レスポンス
      プレイブックを推奨・実行

      これらの機能は、セキュリティアナリストの作業負荷を軽減し、迅速な対応を可能にします。

      Geminiによるセキュリティ課題の克服

      Geminiは、セキュリティ運用における以下の3つの課題を解決します。

      • 脅威の特定
        大規模なセキュリティイベントや異常を検知し、企業全体への影響を最小限に抑えます。
      • 対応の効率化
        手動タスクを削減し、対応時間を短縮することで、意思決定を迅速化します。
      • 人材の有効活用
        専門知識を民主化し、セキュリティアナリストがより複雑な問題に集中できるよう支援します。

      理想的なセキュリティ運用のビジョン

      セッションでは、Geminiを活用した理想的なセキュリティ運用のビジョンが示されました。

      このビジョンでは、セキュリティアナリストは、以下のタスクから解放されます。

      • 理想的な状態からの逸脱
        Geminiがシステムを監視し、理想的な状態からの逸脱を検知・修正するため、手動での監視や対応が不要になります。
      • ルール作成
        Geminiが自動的に脅威検知ルールを生成・更新するため、手動でのルール作成が不要になります。
      • ノイズ調査
        Geminiがアラートを自動的にトリアージし、ノイズを排除するため、セキュリティアナリストは本当に対応が必要なアラートのみに集中できます。
      • プレイブック作成
        Geminiが状況に応じて最適なプレイブックを推奨・実行するため、手動でのプレイブック作成が不要になります。

        このビジョンが実現されることで、セキュリティアナリストは、より戦略的な業務に集中できるようになり、セキュリティ体制の強化につながります。

        Geminiの導入メリット

        セッションでは、実際にGeminiを導入した企業の事例が紹介されました。

        これらの事例は、Geminiがセキュリティ運用に大きな効果をもたらしていることを示しています。

        • 事例1:ある企業では、Geminiを使用することで脅威の検知時間を30分から15分に短縮できました。
        • 事例2::別の企業では、Geminiがセキュリティタスクの70~80%を自動化し、人材不足の解消に貢献しています。
        • 事例3:また別の企業では、Geminiを使用することで、問題解決までの平均時間が大幅に短縮されました。

        これらの事例は、Geminiがセキュリティ運用を効率化し、迅速なインシデント対応を実現する上で、非常に効果的であることを示しています。

        質疑応答

        セッションの最後には、参加者からの質問に答える時間が設けられました。
        以下は、その中から特に重要な質問と回答です。

        • 質問:Geminiは、どのような種類のセキュリティアラートに対応できますか?
        • 回答:Geminiは、マルウェア感染、不正アクセス、データ漏洩など、様々な種類のセキュリティアラートに対応できます。
        • 質問:Geminiの導入には、どのような準備が必要ですか?
        • 回答:Geminiの導入には、既存のセキュリティシステムとの統合や、AI モデルのトレーニングなど、いくつかの準備が必要です。Google Cloudは、Geminiの導入を支援するコンサルティングサービスを提供しています。
        • 質問:Geminiは、どのような料金体系になっていますか?
        • 回答:Geminiの料金は、利用状況に応じて変動します。詳細については、Google Cloudの営業担当者にお問い合わせください。

          まとめ

          Geminiは、セキュリティインシデント対応を加速させるための強力なツールです。

          高度なマルチモーダル機能とAIエージェントの連携により、脅威の迅速な検知、対応時間の短縮、運用コストの削減を実現します。
          また、専門知識を民主化することで、セキュリティ専門家の不足を補うことができます。

          本レポートが、Geminiを活用したセキュリティ対策強化の参考になれば幸いです。

          お問い合わせ

            GCP
            シェアする
            田代陽向をフォローする
            田代陽向
            KIYONO Engineer Blog

            コメント

            PAGE TOP
            タイトルとURLをコピーしました